<!DOCTYPE html>
<html>

<head>
	<meta charset="utf-8">
	<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
	<meta name="theme-color" content="#33474d">
	<title>samba 用户密码的几种方式对比 | 失落的乐章</title>
	<link rel="stylesheet" href="/css/style.css" />
	
      <link rel="alternate" href="/atom.xml" title="失落的乐章" type="application/atom+xml">
    
</head>

<body>

	<header class="header">
		<nav class="header__nav">
			
				<a href="/archives" class="header__link">Archive</a>
			
				<a href="/tags" class="header__link">Tags</a>
			
				<a href="/atom.xml" class="header__link">RSS</a>
			
		</nav>
		<h1 class="header__title"><a href="/">失落的乐章</a></h1>
		<h2 class="header__subtitle">技术面前，永远都是学生。</h2>
	</header>

	<main>
		<article>
	
		<h1>samba 用户密码的几种方式对比</h1>
	
	<div class="article__infos">
		<span class="article__date">2017-10-12</span><br />
		
		
			<span class="article__tags">
			  	<a class="article__tag-link" href="/tags/Samba/">Samba</a>
			</span>
		
	</div>

	

	
		<p>&#160;&#160;&#160;&#160;&#160;&#160;&#160;&#160;passdb backend就是用户后台的意思。目前有三种后台：smbpasswd、tdbsam和ldapsam。sam应该是security account manager（安全账户管理）的简写。</p>
<h2 id="1-smbpasswd"><a href="#1-smbpasswd" class="headerlink" title="1.smbpasswd"></a>1.smbpasswd</h2><figure class="highlight bash"><table><tr><td class="gutter"><pre><div class="line">1</div></pre></td><td class="code"><pre><div class="line">passdb backend = smbpasswd</div></pre></td></tr></table></figure>
<p>&#160;&#160;&#160;&#160;&#160;&#160;&#160;&#160;该方式是使用smb自己的工具smbpasswd来给系统用户（真实用户或者虚拟用户）设置一个Samba密码，客户端就用这个密码来访问Samba的资源。smbpasswd文件默认在/etc/samba目录下，不过有时候要手工建立该文件。</p>
<ul>
<li>smbpasswd -a 用户名 #添加一个samba用户</li>
<li>smbpasswd -d 用户名 #禁用一个samba用户</li>
<li>smbpasswd -e 用户名 #恢复一个samba用户</li>
<li>smbpasswd -x 用户名 #删除一个samba用户</li>
</ul>
<h2 id="2-tdbsam"><a href="#2-tdbsam" class="headerlink" title="2.tdbsam"></a>2.tdbsam</h2><figure class="highlight bash"><table><tr><td class="gutter"><pre><div class="line">1</div></pre></td><td class="code"><pre><div class="line">passdb backend = tdbsam</div></pre></td></tr></table></figure>
<p>&#160;&#160;&#160;&#160;&#160;&#160;&#160;&#160;该方式则是使用一个数据库文件来建立用户数据库。数据库文件叫passdb.tdb，默认在/etc/samba目录下。passdb.tdb 用户数据库可以使用smbpasswd –a来建立Samba用户，不过要建立的Samba用户必须先是系统用户。我们也可以使用pdbedit命令来建立Samba账户并由其pdbedit管 理。</p>
<p>&#160;&#160;&#160;&#160;&#160;&#160;&#160;&#160;用户的建立可以先用mksmbpasswd建立一个smppasswd文件，然后用pdbedit将文件里的用户导入数据库。</p>
<figure class="highlight bash"><table><tr><td class="gutter"><pre><div class="line">1</div></pre></td><td class="code"><pre><div class="line">cat /etc/passwd | mksmbpasswd &gt; /etc/samba/smbpasswd</div></pre></td></tr></table></figure>
<p>&#160;&#160;&#160;&#160;&#160;&#160;&#160;&#160;pdbedit命令的参数很多，我们列出几个主要的：</p>
<ul>
<li>pdbedit -i smbpasswd:/etc/samba/smbpasswd</li>
<li>pdbedit -a username：新建Samba账户。</li>
<li>pdbedit -x username：删除Samba账户。</li>
<li>pdbedit -L：列出Samba用户列表，读取passdb.tdb数据库文件。</li>
<li>pdbedit -Lv：列出Samba用户列表的详细信息。</li>
<li>pdbedit -c “[D]” –u username：暂停该Samba用户的账号。</li>
<li>pdbedit -c “[]” –u username：恢复该Samba用户的账号。</li>
</ul>
<h2 id="3-ldapsam"><a href="#3-ldapsam" class="headerlink" title="3.ldapsam"></a>3.ldapsam</h2><figure class="highlight bash"><table><tr><td class="gutter"><pre><div class="line">1</div></pre></td><td class="code"><pre><div class="line">passdb backend = smbpasswd</div></pre></td></tr></table></figure>
<p>&#160;&#160;&#160;&#160;&#160;&#160;&#160;&#160;该方式则是基于LDAP的账户管理方式来验证用户。首先要建立LDAP服务，然后设置“passdb backend = ldapsam:ldap://LDAP Server”。</p>
<p>&#160;&#160;&#160;&#160;&#160;&#160;&#160;&#160;注：samba3.x的早期版本默认使用tdb库也就是smb.conf默认设定为passdb backend = tdbsam，只需要注释掉该行添加smb passwd file = /etec/samba/smbpasswd即可使用smbpasswd存储加密密钥。samba3.5.6更加规范了passdb backend参数的使用，取消了smb passwd file设定，如果简单注释掉passdb backend参数，密钥文件也不会被存储到smbpasswd。所以很多人说怎么修改smb.conf的配置，</p>
<p>&#160;&#160;&#160;&#160;&#160;&#160;&#160;&#160;这里只能说samba版本升级了，规则也变化了。现在无论是使用tdb数据库存储密钥还是smbpasswd文本存储密钥都要设定相对应的 passdb backend参数。要用传统的文本方式存储只需这样设定passdb backend = smbpasswd:/etc/samba/smbpasswd（后面跟的是绝对路径）&gt;，不要再画蛇添足的写上smb passwd file = /etec/samba/smbpasswd，该参数已经不适用于新版本的samba了。</p>
<p>&#160;&#160;&#160;&#160;&#160;&#160;&#160;&#160;注意，这里的用户名必须是linux中存在的用户，可以使用useradd命令在系统中添加一个用户，然后再增加一个对应的samba用户，也 就是一个用户名使用的是两套密码。一个是系统用户密码，另一个密码存储在/etc/samba/smbpasswd文件中的samba密码，这样可以防止 系统用户密钥外泄带来的安全隐患。</p>
<p>&#160;&#160;&#160;&#160;&#160;&#160;&#160;&#160;除了上面的措施外，samba还提供了一个更安全的方法，用户名映射功能，这样做的好处是防止系统内的真实用户名暴露，在smb.conf中增 加username map = /etc/samba/smbuser设定，再手工建立该文件。username map参数详解，比如有一个系统用户名为zyhyt.org，同时我们也设定其为samba的登录名，虽然是两套独立的密码，但依然告诉了用户，我系统内 也存在zyhyt.org这个用户。严格的说这也是违背系统安全规则的，不法人士可能会利用该用户名暴力猜解获得系统内帐户权限。samba提供的用户名 映射功能，只需编辑smbuser文&gt;件，格式为：真实的用户名 = 映射出的用户名（随便自定义）；zyhyt.org = nas_guest nas_nobody（可以映射出多个用户名，注意中间的空格）。设定完成后，我们只需将nas_guest告诉用户即可，无须担心真实的 zyhyt.org用户名暴露。</p>

	

	
		<span class="different-posts"><a href="/2017/10/12/Samba/3. samba 用户密码的几种方式对比/" onclick="window.history.go(-1); return false;">⬅️ Go back </a></span>

	

</article>

	</main>

	<footer class="footer">
	<div class="footer-content">
		
	      <div class="footer__element">
	<p>Hi there, <br />welcome to my Blog glad you found it. Have a look around, will you?</p>
</div>

	    
	      <div class="footer__element">
	<h5>Check out</h5>
	<ul class="footer-links">
		<li class="footer-links__link"><a href="/archives">Archive</a></li>
		
		  <li class="footer-links__link"><a href="/atom.xml">RSS</a></li>
	    
		<li class="footer-links__link"><a href="/about">about page</a></li>
		<li class="footer-links__link"><a href="/tags">Tags</a></li>
		<li class="footer-links__link"><a href="/categories">Categories</a></li>
	</ul>
</div>

	    

		<div class="footer-credit">
			<span>© 2017 失落的乐章 | Powered by <a href="https://hexo.io/">Hexo</a> | Theme <a href="https://github.com/HoverBaum/meilidu-hexo">MeiliDu</a></span>
		</div>

	</div>


</footer>



</body>

</html>
